Ubuntu : Canonical corrige les failles de needrestart
Le 21 novembre à 11h45
1 min
Logiciel
Logiciel
L'équipe sécurité de Canonical indique avoir publié des mises à jour de sécurité dédiées à deux paquets présents dans les différentes variantes d'Ubuntu, mais aussi de Debian et d'autres distributions : needrestart et libmodule-scandeps-perl.
Elles corrigent un ensemble de cinq vulnérabilités (CVE-2024-48990, CVE-2024-48991, CVE-2024-48992, CVE-2024-11003, CVE-2024-10224), découvertes par l'éditeur Qualys, grâce auxquelles un attaquant disposant d'un accès local (au moyen par exemple d'un malware ou d'un compte utilisateur compromis) serait en mesure d'obtenir des droits administrateur sur la machine visée.
« Dans deux des vulnérabilités, CVE-2024-48990 et CVE-2024-48922, l'attaquant local peut définir une variable d'environnement (PYTHONPATH ou RUBYLIB), puis exécuter un script pour attendre que needrestart s'exécute et l'amener à utiliser l'environnement de l'attaquant pour exécuter du code arbitraire », illustre l'éditeur.
Certains y verront sans doute une forme d'ironie : needrestart est l'utilitaire chargé de déterminer si un service doit être redémarré après l'application d'une mise à jour.
Toutes les versions actuellement maintenues d'Ubuntu sont concernées par la mise à jour, de la 16.04 à la récente 24.10.
Le 21 novembre à 11h45
Commentaires (5)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 21/11/2024 à 14h13
Le 21/11/2024 à 16h39
Le 21/11/2024 à 17h11
Le 21/11/2024 à 20h41
Le 26/11/2024 à 10h57